TokyoBlackHatNews

infosecurity-magazine.com 4分で読了

北朝鮮がKelpDAO暗号資産盗難事件(2億9000万ドル相当)の容疑者と指摘

週末にリキッドリステーキングプロトコルKelpDAOが襲撃された後、今年最大の暗号資産盗難事件の最有力容疑者は国家支援を受けたハッカーとされています。

分散型金融(DeFi)専門のこのプロトコルは、stETH、ETHx、sfrxETHなどのリキッドステーキングトークン(LST)を受け入れ、その代わりにリキッドトークンであるrsETHを発行する仕組みで動作しています。

しかし同社は土曜日、「rsETHが関わる疑わしいクロスチェーンアクティビティ」を特定したと発表し、活動の一時停止を余儀なくされました。

脅威アクターが約2億9300万ドル相当の116,500のrsETHを盗み、調査官たちを混乱させるため、それをTornado Cashを通じて流したと見られています。

DeFi暗号盗難についてもっと読む:DeFiプロトコルBalancerがサイバー盗難で1億2000万ドル以上を失う

KelpDAOは、実行しているLayerZeroインフラストラクチャをセキュリティ侵害の原因として非難しており、それに対してLayerZeroはKelpDAOの特定の設定が原因だと反論しています。

LayerZeroプロトコルは、クロスチェーンメッセージの整合性を検証する責任を負う独立したエンティティである分散検証ネットワーク(DVN)を使用しています。4月18日、北朝鮮のLazarus GroupがダウンストリームのRPCインフラストラクチャに毒物を混入させてLayerZero Labs DVNを標的にしたと同社は述べています。

「攻撃者は当社のDVNが使用するRPCリストにアクセスでき、そのうちの2つを侵害しました。これは相互の直接的な接続がない別個のクラスタで実行されている独立したノードでした。そしてop-gethノードで実行されているバイナリを置き換えました」とLayerZeroは説明しています。

「当社の最小権限の原則のため、実際のDVNインスタンスを侵害することはできませんでした。しかし、彼らはこのピボットポイントを使用してRPCなりすまし攻撃を実行しました。」

その後、脅威アクターは侵害されていないRPCに対してDDoS攻撃を仕掛け、毒物に汚染されたものへのフェイルオーバーをトリガーしました。これにより、彼らは正当なものとして受け入れられた偽造されたクロスチェーンメッセージを送信でき、不正なrsETH転送が可能になりました。

LayerZeroが反撃

LayerZeroは、ベストプラクティスのマルチDVNアドバイスと矛盾するDVNアーキテクチャを実行しているとしてKelpDAOを非難しています。

「単一障害点の設定を実行することは、偽造されたメッセージをキャッチして拒否する独立した検証者がないことを意味していました。LayerZeroおよび他の外部パーティは、以前にKelpDAOにDVN多様化に関するベストプラクティスを伝えていました」と述べています。

「これらの推奨にもかかわらず、KelpDAOは1/1のDVN設定を利用することを選択しました。適切に強化された設定では、複数の独立したDVN全体でコンセンサスが必要であり、単一のDVNが侵害された場合でもこの攻撃を無効にしていました。」

幸いなことに、盗まれた資金のおよそ4分の1、つまり約30,766 ETH(7100万ドル)はArbitrumのセキュリティカウンシルによって凍結されました。

洗練された襲撃

専門家は、Lazarus Groupがますます洗練された運用能力を示していると主張しています。

「これらの環境は、粗暴な攻撃者によってテストされているのではなく、インフラストラクチャ、アプリケーション、信頼関係全体にわたって弱点をチェーンでつなぎ合わせる方法を理解している規律ある敵対者によって圧迫されています」とAttackIQ CISOのPete Lubanは述べています。「Lazarusのようなグループは、より豊かになって立ち去るだけでなく、より良くなって立ち去り、ツールをスケーリングし、技術を洗練させ、将来のキャンペーンに再投資するためのより多くのリソースを持っています。」

Swimlaneのセキュリティ自動化アーキテクチャのリード、Nick Tausekは、この攻撃が「忍耐強い侵入、信頼の操作、検出抑制」という馴染みのある北朝鮮のパターンを示していることに同意しました。

彼は付け加えました:「LayerZeroの検証役に関連するインフラストラクチャを侵害することで、彼らはトランザクションフロー内の信頼できる位置に足を踏み入れ、その信頼を悪用して偽造されたメッセージをダウンストリームに押しつけました。これが暗号資産におけるサードパーティ侵害が非常に危険な理由です。爆発半径はめったに初期の被害者で止まることはありません。」

翻訳元: https://www.infosecurity-magazine.com/news/north-korean-blamed-290m-kelpdao/

ソース: infosecurity-magazine.com
#DeFi #KelpDAO #LayerZero #Lazarus Group #RPC毒入れ #クロスチェーン攻撃 #サイバーセキュリティ #北朝鮮 #暗号資産盗難 #資金凍結

関連記事

61万件以上のRobloxアカウント侵害で3人を逮捕

Deep#DoorなるPythonバックドアがWindowsで検出を回避

CISAおよびパートナー企業、OT セキュリティの零信頼ガイダンスを発表